Norma ISO 31000

El valor de la gestin de riesgos en las organizaciones

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

ndice

1.De dnde viene la norma ISO 31000? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Definicin del riesgo empresarial y principales tipos. . . . . . . . . . . . . . . . . . 4
3. En qu consiste la norma ISO 31000?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4. Metodologas de anlisis de riesgos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
5. Proceso de gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
6. Plan de tratamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
7. Problemas habituales en la gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . 20
8. Automatizacin del sistema de gestin de riesgos segn ISO 31000. . . . 21

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

1. De dnde viene la norma ISO

31000?
La Gestin de Riesgos en las empresas nace en la dcada de los 60. Ante la tecnificacin y modernizacin de ciertos procesos que hasta ese momento se haban desarrollado de forma manual, en muchos sectores se puso de manifiesto
la necesidad de realizar un mejor control de las actividades. La tecnologa supuso
mayor agilidad y calidad, pero a la vez nuevos retos de control y seguimiento.
A partir de esos aos se public la primera literatura al respecto. Los sectores
que ms contribuyeron a la consolidacin del concepto fueron el asegurador, el
tecnolgico, el militar y el de la ingeniera nutica y nuclear.
Sin embargo, slo en la segunda mitad de los aos 70 la Gestin de Riesgos
entr de lleno a las empresas. Esto se debi a la aparicin de las primeras normas y estndares internacionales. Quiz el ms significativo fue el cdigo de seguridad nuclear que hizo pblico la US Nuclear Regulatory Comission, el cual intentaba
minimizar los riesgos a los que estaba expuesto el sector nuclear estadounidense.
La asimilacin del trmino acab de completarse gracias la difusin de otras normas al respecto, como por ejemplo el COSO, cdigo emitido por el Comit de
Organizaciones Sponsor en 1991 y que inclua prcticas para la gestin interna
del riesgo. Dos aos ms tarde, Australia y Nueva Zelanda publicaron la norma
AS/NZ 4360 sobre el riesgo en sus empresas pblicas, mientras en 2002 el Insti-

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

tuto Britnico de Gestin de Riesgos hizo pblico el estndar IRM. Por otro lado
en el ao 2002 con la finalidad de evitar fraudes y riesgo de bancarrota nace en
Estados Unidos la Ley Sarbanes Oxley con el fin de monitorear a las empresas
que cotizan en bolsa de valores, evitando que la valorizacin de las acciones de
las mismas sean alteradas de manera dudosa, mientras que su valor es menor.

1.1 La norma ISO 31000: unificacin de criterios

Sin embargo, estos estndares y normas internacionales tenan dos problemas
en el terreno prctico: el primero, que casi todos estaban dirigidos a empresas
de sectores especficos, lo cual reduca su impacto y extensin; y el segundo, que
haba una notoria disparidad de criterios a la hora de desarrollarlos.
Estos dos elementos motivaron a la Organizacin Internacional de Normalizacin (ISO) a elaborar una norma que abordara la Gestin de Riesgos de
forma global, necesidad que en 2009 dio origen a la norma ISO 31000. Sin
embargo, pese a su alcance genrico, es una norma no certificable; son las empresas las que se acogen voluntariamente a sus directrices en el rea de Gestin
de Riesgos.
Se trata de un estndar que puede aplicarse a cualquier tipo de organizacin, ms all de su naturaleza, actividad, escenario comercial o tipo de producto,
entre otros factores. A travs de una serie de directrices y principios, la norma
busca que cada empresa implemente un Sistema de Gestin del Riesgo para
reducir los obstculos que impiden la consecucin de sus objetivos, siendo compatible con cada sector.

2. Definicin del riesgo empresarial y

principales tipos
2.1 Qu es el riesgo empresarial?
Toda actividad empresarial lleva implcito un riesgo. Algunas en mayor medida
que otras, pero ninguna se encuentra exenta. El riesgo es parte de cualquier rea
de negocio, pues en cierta forma lo define y ayuda a ponerle lmites.
En el plano corporativo, el riesgo se define como la incertidumbre que surge
durante la consecucin de un objetivo. Se trata, en esencia, circunstancias,
sucesos o eventos adversos que impiden el normal desarrollo de las actividades
de una empresa y que, en general, tienen repercusiones econmicas para sus
responsables.

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Proveniente del italiano risicare (en espaol: desafiar, retar, enfrentar), de modo
que al concepto tambin se le asocia a toda probabilidad de prdida. Otros sinnimos con los que suele guardar una relacin directa son los de peligro, amenaza, perjuicio o dao.
Esto no quiere decir que todos los elementos que enmarcan la actividad comercial de las empresas sean riesgos en s mismos. Por el contrario, existen ciertas
caractersticas esenciales que los definen como tal:
Debe estar asociado, de alguna manera, a la actividad de la empresa.
Son complejos, no tienen una solucin inmediata.
Su impacto debe ser significativo.
Entorpecen, obstaculizan, dificultan o postergan procesos.

2.2. Principales tipos de riesgos empresariales

2.2.1 Segn el tipo de actividad
Los riesgos estn presentes en cualquier actividad. Sin embargo, algunos implican
un mayor o menor nivel de incidencia sobre las actividades de las empresas. Una
primera clasificacin de los mismos puede hacerse en los siguientes trminos:

Riesgo sistemtico:
Se refiere a aquellos riesgos que estn presentes en un sistema econmico
o en un mercado en su conjunto. Sus consecuencias pueden aquejar a la
totalidad del entramado comercial, como sucede, por ejemplo, con las crisis
econmicas de gran envergadura y de las cuales ninguna compaa puede
sustraerse. Tambin pueden ser originados por accidentes, guerras o desastres naturales.
Riesgo no sistemtico:
Son los riesgos que se derivan de la gestin financiera y administrativa de
cada empresa. Es decir, en este caso la que falla es una compaa en concreto y no el conjunto del mercado o escenario comercial. Varan en funcin
de cada tipo de actividad y cada caso, al igual que la manera en que son
gestionados. Las situaciones de crisis internas o un plan de crecimiento mal
implementado son algunos ejemplos.

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

2.2.2 Segn su naturaleza

Pero los riesgos tambin pueden definirse en funcin de su naturaleza. De hecho,
es la manera ms extendida a la hora de clasificarlos. Est claro que un riesgo de
tipo legal o jurdico no debe tener la misma gestin que otro de tipo econmico.
En ese sentido, la clasificacin de los riesgos quedara de la siguiente manera:
Riesgos financieros:
Son todos aquellos relacionados con la gestin financiera de las empresas. Es decir, aquellos movimientos, transacciones y dems elementos que
tienen influencia en las finanzas empresariales: inversin, diversificacin,
expansin, financiacin, entre otros. En esta categora es posible distinguir
algunos tipos:
- Riesgo de crdito.
- Riesgo de tasas de inters.
- Riesgo de mercado.
- Riesgo gestin.
- Riesgo de liquidez.
- Riesgo de cambio.
Riesgos econmicos:
En este caso, se refiere a los riesgos asociados a la actividad econmica, ya
sean de tipo interno o externo. En el primer caso, hablamos de las prdidas que puede sufrir una organizacin debido a decisiones tomadas en su
interior. En el segundo, son eventos cuyo origen es externo. Para diferenciarlo del tem anterior, es preciso sealar que el riesgo econmico afecta

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

bsicamente a los beneficios monetarios de las empresas, mientras que los

financieros tienen que ver con todos los bienes que tengan las organizaciones a su disposicin.
Riesgos ambientales:
Son aquellos a los que estn expuestas las empresas cuando el entorno en
el que operan es especialmente hostil o puede llegar a serlo. Tienen dos
causas bsicas: naturales o sociales. En el primer grupo podemos mencionar elementos como la temperatura, la altitud, la presin atmosfrica, las
fallas geolgicas, entre otros. En el segundo, cuestiones como los niveles de
violencia y la desigualdad. Sea como sea, lo cierto es que son riesgos que no
dependen de las empresas y que, por tanto, su gestin requiere de planes
preventivos ms eficaces.
Riesgos polticos:
Este riesgo puede derivarse de cualquier circunstancia poltica del entorno
en el que operen las empresas. Los hay de dos tipos: gubernamentales, legales y extralegales. En el primer caso se engloban todos aquellos que son
el resultado de acciones que han sido llevadas a cabo por las instituciones
del lugar, por ejemplo un cambio de gobierno o una modificacin en las
polticas comerciales. En el segundo caso, se sitan actos al margen de la
ley como acciones terroristas, revoluciones o sabotajes.
Riesgos legales:
Se refiere a los obstculos legales o normativos que pueden obstaculizar el
rol de una empresa en un sitio determinado. Por ejemplo, en algunos pases
operan leyes restrictivas en el mercado que limitan la accin de ciertas compaas. Estos riesgos van generalmente ligados a los de carcter poltico.
Normalmente atendiendo a la naturaleza de los riesgos empresariales suele distinguirse entre riesgos puros y riesgos especulativos.
El riesgo puro se define como la incertidumbre de que acontezca un determinado suceso que ocasiona una prdida econmica. Por su parte, el riesgo especulativo se define como la incertidumbre de que ocurra un determinado suceso
cuya ocurrencia producira la materializacin de una expectativa de beneficio o
prdida, indistintamente.
En consecuencia, el riesgo puro es aqul del que slo puede derivarse un dao
en caso de ocurrencia y, por tanto, una prdida econmica. Por el contrario, en
el riesgo especulativo existe la incertidumbre, respecto al propio suceso, de que
pudiera producirse indistintamente un beneficio o una prdida.
En general, esta distincin es bastante significativa, ya que la cobertura financiera
de los riesgos procurada por la institucin aseguradora atiende generalmente a los
riesgos puros. Los riesgos especulativos son asumidos habitualmente por el em-

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

presario en funcin de su conocimiento y quedan fuera del marco asegurador, si

bien actualmente existe un cierto acercamiento del seguro a determinadas parcelas de riesgos especulativos. Dentro de los riesgos puros, con relacin a los peligros
desencadenantes de estos riesgos pueden distinguirse tres grandes reas:
Riesgos personales.
Riesgos de daos materiales sobre las propiedades.
Riesgos de responsabilidad civil.

3. En qu consiste la norma ISO

31000?
La norma ISO 31000 es una herramienta que establece una serie de principios
para la implementacin de un Sistema de Gestin de Riesgos en las empresas. Como se dijo antes, puede aplicarse a cualquier tipo de organizacin independiente de su tamao, razn social, mercado, fuente de capital, espectro comercial
o forma de financiacin. No especifica ningn rea o sector en concreto.
La norma parte del hecho de que todas las empresas, en mayor o menor medida,
llevan a cabo prcticas para la gestin de los riesgos. La diferencia radica en la
coordinacin y alineamiento de dichas prcticas.

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Aunque no es certificable, el estndar busca minimizar, gestionar y controlar

cualquier tipo de riesgo, ms all de su naturaleza, causa, origen o grado de incidencia. Esto se logra a travs de la integracin del Sistema de Gestin de Riesgos
a la estrategia de cada organizacin, as como a sus procesos, polticas y cultura.
De hecho, no es una norma pensada para circunstancias concretas, sino que
busca una aplicacin continua y permanente en el tiempo. De esta manera, beneficia el grueso de las acciones, decisiones, operaciones, procesos, funciones,
proyectos, servicios y activos que tengan lugar en las empresas.

3.1 Partes de la norma ISO 31000:

Para una mejor comprensin de sus principios y directrices, la norma ISO 31000:
2009 divide su contenido en tres reas bsicas:

1. Principios y directrices:
La norma ISO 31000 sirve de referencia para otros estndares sobre Gestin
de Riesgos. Adems, complementa la informacin de diversas normativas en el
plano local, regional, nacional o incluso continental. En este primer apartado, se
explica no slo el alcance de la misma, sino que se detallan las prcticas bsicas
que debe tener en cuenta cualquier organizacin dispuesta a implementar un
Sistema de Gestin de Riesgos. Los 11 principios expuestos son:
La gestin crea valor a la organizacin.
Debe estar integrada a los procesos.
Forma parte de la toma de decisiones en la empresa.
Trata de forma explcita la incertidumbre.
Debe ser sistemtica, estructurada y adecuada.
Es necesario que est basada en la mejor informacin disponible.
Debe adaptarse a la medida de cada caso.
Implica la inclusin de factores humanos y culturales.
Debe ser transparente, eficaz e inclusiva.
Es necesario que sea iterativa y sensible al cambio.
Tiene que ir orientada a la mejora continua de la organizacin.

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

2. Gestin de riesgos:
La norma ISO 31000 define la Gestin de Riesgos como todas aquellas acciones
coordinadas para dirigir y controlar los riesgos a los que puedan estar abocadas
las organizaciones. En este segundo apartado, el objetivo es trazar un marco de
accin para saber qu aspectos gestionar y cmo hacerlo. La gestin tiene que
ver, sobre todo, con la cuantificacin de los riesgos, para lo cual es fundamental
definir dos elementos dentro de este proceso:
- Consecuencia:
La norma define la consecuencia como los efectos o aquellos elementos que se
derivan directa o indirectamente de otros. En este caso, se trata de evaluar los
riesgos que cumplen con la premisa de causa-efecto. Es cierto que no siempre se
pueden prever las consecuencias de una accin o decisin, pero este solo acto
es el origen de cualquier Sistema de Gestin de Riesgos. Sin un mnimo grado de
consecuencia, cualquier accin en la materia resultar insuficiente.
- Probabilidad:
Este segundo trmino habla de la posibilidad de que un hecho se produzca. Para
la Gestin de Riesgos, es fundamental que las empresas contemplen la irrupcin
de hechos que puedan derivarse o no de las decisiones de la empresa. Nunca se
est del todo preparado para los acontecimientos, sobre todo si stos provienen
de factores externos, pero el slo hecho de pensar en su materializacin ya es un
buen indicador de la Gestin de Riesgos.

10

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

3. Vocabulario de gestin:
Finalmente, en esta ltima parte la norma ISO 31000 plantea un conjunto de
conclusiones sobre la implementacin de un Sistema de Gestin de Riesgos. En
este sentido, complementa la informacin de los dos apartados anteriores con
un glosario especializado en esta materia. Si el proceso se lleva a cabo siguiendo
los principios bsicos, los resultados a obtener sern los siguientes:
Mejorar la identificacin de oportunidades y amenazas.
Optimizar la gestin empresarial.
Aumentar la confianza en los grupos de inters (stakeholders).
Establecer una base para la toma de decisiones.
Mejorar los controles y los mtodos de seguimiento y monitoreo.
Optimizar la prevencin y la gestin de incidentes.
Minimizar las prdidas asociadas a los procesos empresariales.
Fomentar el aprendizaje organizativo en todos sus niveles.

4. Metodologas de anlisis de riesgos

Dado que los riesgos no tienen el mismo origen ni la misma naturaleza, existen
varias estrategias para su gestin. Sin embargo, otros factores que inciden significativamente son el tamao de las empresas, su nmero de integrantes, su
estructura, la actividad de produccin y el sector en el que operan.
Esto ha propiciado que se desarrollen metodologas de anlisis propias de un
sector o especialidad. Su objetivo es la identificacin, evaluacin, tratamiento
y monitorizacin de los riesgos asociados a una actividad, funcin o proceso. Es
decir, es lo que da forma a la implementacin del sistema de gestin en s mismo.
Sin embargo, es importante dejar claro que las metodologas de anlisis de riesgos se dividen en dos grupos principales:
a) Metodologas de gestin del riesgo:
Son aquellas que estn orientadas a la identificacin, evaluacin y el posterior tratamiento de los riesgos derivados de una actividad. Entre ellas est,
como es obvio, la norma ISO 31000. Tambin se encuentran otros estndares, como por ejemplo la norma AS/NZS 4360, que plantea un modelo de
anlisis centrado en los principios de la familia normativa ISO 9000.

11

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Otras de las metodologas ms reconocidas son el sistema APPCC (Anlisis

de Peligros y Puntos Crticos de Control) y el mtodo del ARO (Administracin del Riesgo Operacional), los cuales operan en el mismo sentido.
b) Metodologas de cuantificacin:
En este caso, se trata de aquellas herramientas que se enfocan exclusivamente en la cuantificacin de los riesgos. Es decir, aplican una serie de
indicadores (de carcter numrico casi siempre) para medir el impacto que
tienen los riesgos en las organizaciones y, a partir de ese clculo, elaborar
acciones coordinadas para su gestin, tratamiento o, incluso, eliminacin.
- Magerit: se trata de una metodologa de anlisis y gestin de riesgos que
ha sido elaborada por el Consejo Superior de Administracin. Est especficamente diseada para las compaas que trabajen con informacin digital
y servicios de tipo informtico. Su funcin principal es evaluar cunto valor
pone en juego una compaa en un proceso y cmo protegerlo. Tambin
ayuda a la planificacin de tratamientos oportunos y a preparar a las organizaciones de cara a procesos de auditora, certificacin o acreditacin.
- Delphi: es un mtodo orientado a conocer la opinin de expertos. En
un primer momento, un grupo de especialistas annimos responde a un
cuestionario que elabora una organizacin sobre un tema especfico, en
este caso la Gestin de Riesgos. Tras analizar los resultados, los responsables piden su opinin a cada uno de los integrantes del grupo. Finalmente,
la empresa elabora un segundo cuestionario, aunque ste con preguntas
ms precisas y focalizadas. La idea es que al final se elabora un texto con
las conclusiones.

Mtodos Cualitativos
Es el mtodo de anlisis de riesgos ms utilizado en la toma de decisiones en
proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia
e intuicin para la toma de decisiones.
Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los
recursos necesarios para hacer un anlisis completo.

12

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

O bien porque los datos numricos son inadecuados para un anlisis mas cuantitativo que sirva de base para un anlisis posterior y ms detallado del riesgo
global del emprendedor.
Los mtodos cualitativos incluyen:
Brainstorming
Cuestionario y entrevistas estructuradas
Evaluacin para grupos multidisciplinarios
Juicio de especialistas y expertos (Tcnica Delphi)

Mtodos Semi-cuantitativos
Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones
ms detalladas de la probabilidad y la consecuencia.
Estas clasificaciones se demuestran en relacin con una escala apropiada para
calcular el nivel de riesgo.
Se debe poner atencin en la escala utilizada a fin de evitar malos entendidos o
malas interpretaciones de los resultados del clculo.

Mtodos Cuantitativos
Se consideran mtodos cuantitativos a aquellos que permiten asignar valores
de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de
riesgo del proyecto.
Los mtodos cuantitativos incluyen:
Anlisis de probabilidad
Anlisis de consecuencias
Simulacin computacional
El desarrollo de dichas medidas puede ser realizado mediante diferentes mecanismos, entre los cuales destacamos el Mtodo Montecarlo, el cual se caracteriza por:
Amplia visin para mostrar mltiples posibles escenarios
Sencillez para llevarlo a la prctica
Computerizable para la realizacin de simulaciones

13

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

5. Proceso de gestin de riesgos

La norma ISO 31000 tiene un enfoque de procesos. La implementacin de un
Sistema de Gestin de Riesgos, por tanto, debe seguir una serie de pasos para
que sea eficaz y cumpla con los objetivos trazados al inicio. Los pasos bsicos son:

14

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

1. Definicin de objetivos:
En esta primera etapa se definen los objetivos del proceso. Es decir, se deja claro
qu es lo que se busca con la implementacin del Sistema de Gestin de Riesgos y cul debe ser el alcance del mismo. La direccin de la empresa debe ser
la instancia con ms alto grado de implicacin en la difusin de estos objetivos,
pues de lo contrario no lograr que el resto de niveles se comprometan del modo
deseado. Pero no slo se apoya en una buena difusin. Tambin es preciso definir un presupuesto y destinar los recursos necesarios para la materializacin del
plan de riesgos.

2. Nombramiento de responsables:
A continuacin, la direccin debe delegar la coordinacin de las labores de Gestin de Riesgos en uno o ms responsables. Esto depender del tamao de cada
organizacin y del nmero de sus empleados. Sea como sea, lo nico cierto es
que la estrategia debe involucrar a las distintas personas en el proceso.
Aunque la empresa tenga muchos trabajadores y departamentos, lo ms recomendable es que los grupos de trabajo no superen los 10 miembros. Cuando esto sucede, tienden a la descentralizacin excesiva de funciones y los procesos se dilatan.
Para las empresas pequeas, el grupo no debe exceder los 5 miembros.
Hay dos maneras de nombrar a los responsables de un proyecto de Gestin de
Riesgos:
Personal interno:
Lo ms usual en estos casos es que el personal delegado para tales tareas
sea de la propia organizacin. Si es as, la direccin tiene la garanta de que
conocen el rea sobre el que se realiza la evaluacin. De hecho, puede
recurrir a aquellos cargos que tengan una visin ms o menos global de los
procesos.
Personal externo:
Cuando la empresa es demasiado pequea o no tiene la capacidad ni la
formacin para llevar a cabo estas tareas, la direccin puede apoyarse en
los servicios de una consultora. Sin embargo, la desventaja de esta opcin
es que requiere de una labor previa de empalme en la que el personal que
realizar la evaluacin se pone al da en todo lo relacionado a la Gestin de
Riesgos.

15

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

3. Identificacin de los riesgos:

A travs de reuniones entre los diversos responsables, la empresa debe definir
cules son los factores que influyen en los procesos. Y de todos esos, es preciso
priorizarlos en funcin del impacto que tengan. Recordemos que en un proceso
no todas las acciones tienen el mismo grado de importancia. Una buena manera
de medir el impacto de un riesgo es a travs de la siguiente tabla de valores:
a) A qu rea de la empresa afecta?
b) Cmo la afecta?
c) Qu efectos tiene sobre dicha rea?
d) Qu efectos tiene sobre la organizacin en su conjunto?
e) Qu margen de maniobra otorga?
f) Qu tiempo de reaccin permite a la direccin?
g) Qu grado de complejidad requieren sus soluciones?
h) Qu consecuencias implicar el no afrontarlo?

4 . Anlisis de Riesgos
El objetivo es establecer una valoracin y priorizacin de los riesgos con el fin de
clasificarlos.
El anlisis depender de la informacin disponible sobre el riesgo y de su origen.
Para adelantarlo es necesario disear escalas que pueden ser cualitativas o cuantitativas.
Se han definido dos categoras:

PROBABILIDAD

IMPACTO

16

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Esquema de priorizacin de riesgos

5 . Definicin de las respuestas a los riesgos:

La definicin obedecer a los tres pasos anteriores, sobre todo a la identificacin
de los riesgos y sus efectos en los procesos. La idea es plantear las soluciones
ms adecuadas para poner cara a aquellos elementos que obstaculizan la consecucin de los objetivos estratgicos de las empresas.
Pero as como cada organizacin tiene sus propios retos en esta materia, de la
misma manera debe reaccionar a los riesgos que eventualmente pueden perjudicarle. Existen cinco estrategias principales a la hora de gestionar un riesgo:
Supresin del riesgo:
No es lo ms habitual, pero a veces las organizaciones logran que desaparezcan los riesgos asociados a sus procesos. Esto se consigue cuando
la labor de previsin se ha implementado de forma exitosa: obteniendo
informacin adicional, adquiriendo apoyo de expertos, aadiendo recursos
adicionales o modificando los elementos de la planificacin, entre otros elementos.

17

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Transferencia del riesgo:

Bajo esta figura, el riesgo es transferido a otra dependencia de la organizacin o, incluso, a una segunda empresa asociada. Se trata de un recurso
muy comn entre los grupos de compaas filiales o que comparten algn
tipo de vnculo que permite esta transferencia. Por ejemplo, cuando hablamos de responsabilidad solidaria, una empresa puede asumir las deudas
de otra que haga parte del conglomerado que las integra a las dos. El riesgo
no se anula; slo se redirecciona.
Mitigacin del riesgo:
Es una estrategia de gestin de riesgos que consiste en reducir la probabilidad o el impacto de un riesgo sobre la organizacin. Es decir, que si llega a
producirse, sus efectos sern mucho menores que si no se hubiesen adoptado medidas al respecto. Esta opcin se usa sobre todo en aquellos casos
en que los riesgos son inevitables o no dependen de la empresa en s misma. La clave para una acertada mitigacin del riesgo est en las acciones.
Algunos ejemplos son:
- Adopcin de procesos ms sencillos en la organizacin.
- Puesta en marcha de ensayos adicionales.
- Eleccin de proveedores o suministrador ms fiables.
- Adicin de recursos para la labor preventiva.

18

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

Explotacin del riesgo:

Recordemos que no todos los riesgos son negativos. Algunas veces, su
irrupcin es una oportunidad para las organizaciones. Cuando eso ocurre,
en vez de mitigarla o eliminarla, la estrategia de la empresa debe centrarse
en sacar el mximo provecho de la circunstancia. Un riesgo con efectos positivos se puede potenciar gracias a la designacin de ms personal cualificado, mayor apoyo econmico o una adaptacin a la planificacin realizada
al inicio.
Aceptacin del riesgo:
En estos casos, se trata de riesgos que no suponen mayores impedimentos
para la consecucin de los objetivos y que, por tanto, pueden convivir con
la empresa. Pero no se trata de una actitud resignada. Por el contrario, implica la elaboracin de un plan de contingencia para, de este modo, adaptar el riesgo a las actividades de las empresas. Por ejemplo, las compaas
que operan en zonas montaosas y con una alta probabilidad de sismos,
desarrollan toda una poltica de emergencia en torno a la evacuacin y la
asistencia en casos de emergencia.

19

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

6. Plan de tratamiento
El plan de tratamiento, ltimo paso del proceso de Gestin de Riesgos, tiene como fin la mejora de los controles para el tratamiento del riesgo. Esta etapa
debe ser dinmica y flexible ante los cambios que puedan presentarse. El tratamiento de los riesgos necesita labores adicionales de registro, monitorizacin,
actualizacin e intervencin.
Por supuesto, este plan depende de la estrategia que se haya definido en el apartado anterior. Pensamos que muchas veces los riesgos no tienen el impacto o los
efectos que en un principio habamos credo, con lo cual es necesario modificar
la estrategia y, por consiguiente, el plan de tratamiento.
Los planes de tratamiento suelen proyectarse a corto plazo, pues con esto se
evita que las condiciones iniciales se modifiquen cuando llegue el momento
de la intervencin. La manera ms habitual de realizar el monitoreo es travs
de evaluaciones peridicas o auditoras, las cuales son efectuadas por el equipo
delegado.
Pero aunque todo est previsto y las acciones se proyecten en el corto plazo,
conviene contemplar alguno de los siguientes escenarios:
- La gestin de los riesgos ha sido aplicada tal como estaba previsto.
- Las respuestas a los riesgos han sido efectivas.
- Se estn siguiendo las polticas y las estrategias adecuadas.
- La exposicin del riesgo ha cambiado desde el ltimo anlisis.
- Se han manifestado sntomas de la aparicin de riesgos.
- Han aparecido riesgos que no haban sido contemplados al inicio.

7. Problemas habituales en la gestin

de riesgos
Es evidente que los procesos de Gestin de Riesgos no estn exentos de problemas. Tal como hemos visto en los apartados anteriores, estn compuestos por
pasos complejos y que requieren de coordinacin y seguimiento permanentes.
En este sentido, la norma ISO 31000 ayuda a disminuir los obstculos en dos
sentidos:

20

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

7.1. En la implementacin:
Se trata de aquellos obstculos relacionados con la etapa de implementacin. Es
decir, cuando la empresa ha decidido dar este paso y se presta a realizar las actividades necesarias para la implementacin de un Sistema de Gestin de Riesgos.
En esta categora, se pueden distinguir varios tipos de problemas:
a) Resistencia al cambio:
Algunas organizaciones no estn lo suficientemente preparadas para llevar
a la prctica un sistema de este tipo. Bien sea por falta de formacin o bien
porque no existe un verdadero empoderamiento del proceso, lo cierto es
que la clave para atajar este asunto radica en las tcnicas de grupo que la
direccin ponga en marcha para aumentar el nivel de confianza de sus trabajadores.
b) Inmediatez:
Un buen nmero de organizaciones no estn dispuestas a esperar los plazos
que se han convenido para la implementacin del sistema. Quisieran que
todo fuese de una sola vez y sin que tuviesen que invertir tiempo en ello.

21

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

c) Criterios distintos:
Sucede sobre todo en las grandes empresas. Cuando los grupos de responsables tienen demasiados miembros o su eleccin no ha seguido parmetros de cierta unidad, lo ms comn es que entre estas personas se
presenten diferencias de criterio a la hora de implementar el plan. Esto se
traduce en retrasos, reuniones excesivas y, posiblemente, nombramiento
de nuevos integrantes.
d) Falta de una figura coordinadora:
Del mismo modo, algunos grupos suelen notar la ausencia de una persona
lder que direccione los procesos. De ah la importancia de la eleccin de
esa persona en los primeros pasos de la implementacin.
e) Incumplimiento de plazos:
Por causa de una mala planificacin, recursos insuficientes o una comunicacin deficiente entre los responsables, algunas veces los procesos de
implementacin de Gestin de Riesgos incurren en incumplimiento de los
plazos previstos. En estos casos, el perjuicio es doble: primero, porque obstaculiza la realizacin del proyecto en s mismo; y segundo, porque se pierde tiempo valioso para mitigar o gestionar riesgos que, en muchos casos,
tienen carcter urgente.
f) Aplazamiento:
Esto sucede cuando el plan ni siquiera llega a implementarse. Se han definido las directrices, las estrategias, los responsables y los recursos, pero por
la razn que sea el plan acaba guardado en un archivo de la direccin.

7.2 En el mantenimiento:
En este caso, hablamos de obstculos que surgen en la etapa de ejecucin del plan
de Gestin de Riesgos. Las empresas que ya han dado el paso y se encuentran en
las etapas de monitorizacin pueden encontrarse con los siguientes problemas:
a) Omisin de recursos:
Llegados a esta etapa, las empresas descubren que los recursos destinados para el mantenimiento y la supervisin del plan de Gestin de Riesgos
no alcanzan; son insuficientes, con lo cual se compromete la continuidad
del mismo y se deja en el aire el conjunto de avances realizados hasta la
fecha.
b) Ausencia de diagnstico previo:
Si se han hecho clculos errados en las primeras etapas, lo ms probable es
que las proyecciones tambin lo sean. En estos casos, los procesos requieren de un replanteamiento general.

22

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

8. Automatizacin del Sistema de

Gestin de Riesgos segn ISO 31000
Las nuevas tecnologas plantean un escenario inmejorable para la Gestin de
Riesgos Corporativos. En los ltimos aos, los avances en ese sentido han puesto
a disposicin de las empresas numerosas herramientas que contribuyen a agilizar los procesos y a hacerlos ms eficaces y acordes con las necesidades.
Cuando una empresa aplica este tipo de herramientas, los resultados no slo son
ms precisos sino que, adems, arrojan informacin de utilidad en el momento
de aplicar las soluciones o los correctivos pertinentes.
Ni qu decir, claro, de aquellas organizaciones que trabajan con informacin digital y servicios informticos. Aparte de ser una necesidad, supone tambin una
ventaja que las diferencia de sus competidores y les sita un escaln por encima
a la hora de iniciar la monitorizacin y el seguimiento de las acciones.

ISOTools como herramienta de Gestin de Riesgos

ISOTools es una excelente herramienta para la implementacin de un sistema de Gestin de Riesgos. Adems de automatizar y promover una monitorizacin eficaz del proceso, permite una mejor coordinacin de las tareas entre los
directivos o responsables que hayan sido delegados para tal funcin.
Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta
aporta ventajas que merecen ser destacadas:
Ahorra tiempo durante la ejecucin de las tareas.
Permite realizar auto evaluaciones para definir el estado actual de la organizacin.
Permite un mejor registro de los datos de los diferentes procesos.
Realiza comparativas entre anlisis de riesgos.
Permite visualizar el avance de los proyectos y las actividades.
Relaciona actividades similares o que guarden relacin.
Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
Permite la realizacin de anlisis de incidencias.
Ayuda a monitorizar la ejecucin de soluciones especficas.

23

Norma ISO 31000: el valor de la gestin de riesgos en las organizaciones

www.isotools.org
24